加拿大发现iPhone惊天漏洞 疑政府监控异见者

加拿大电脑保安专家在本月中，从阿联酋人权律师曼苏尔(Ahmed Mansoor，图1)收到的可疑短讯中，发现首个可完全遥控一部安装最新iOS作业系统的iPhone 6间谍软件。程式来自以色列电脑程式公司，黑客可针对手机内3个严重保安漏洞控制手机，怀疑政府用作监控像曼苏尔一样的异见人士及记者。苹果公司周四急忙发布更新。

　　曼苏尔为阿联酋著名人权律师，曾获颁马丁.恩纳尔斯人权捍卫者奖，受政府严密监控。

　　收不明SMS 附网页连结

　　他的iPhone 6在本月10及11日接连收到数个不明电话号码传来的SMS手机信息，声称打开内附的网页连结，就可得知阿联酋监狱虐囚的秘密情报。他未有按指示打开网页，而是把信息发送往加拿大多伦多大学的公民实验室(Citizen Lab)研究。

　　可操控镜头收音 "手机变随身间谍"

　　公民实验室周三发表报告指，他们联同美国三藩市电脑保安公司Lookout调查後发现，短讯连结藏间谍软件，让黑客作出零时差攻击(zero- day attack，指尚未公布的电脑系统新漏洞)攻击。用家若点击连结，手机就会被程式强行"越狱"(Jailbreak)，黑客就可全面掌控手机所有功能，"手机便变成口袋里的随身间谍"。黑客可全面控制手机的镜头、收音咪，记录曼苏尔的行动，黑客更可截取WhatsApp、Viber对话内容，电邮、 WiFi密码、内容等资料亦成为黑客囊中物。

　　针对3漏洞攻击 料国家级黑客所为

　　该间谍程式由以色列NSO Group所制。该公司专门设计监控软件，予政府追踪异见人士之用。他们称过去从未发现有黑客藉遥距越狱控制目标人物的手机，可能有政府已利用此保安漏洞监控社运分子及传媒。Lookout的电脑保安部门副主管默里(Mike Murray)亦表示，黑客对1个漏洞作出零时差攻击已经是大新闻，如今同时对3个漏洞发动此等攻击，明显是来自资金充足的国家级黑客所为。

　　人权律师3度成黑客目标

　　他们通知苹果公司，苹果10日後便发布更新软件修补漏洞，较平时迅速。有关漏洞经披露後，其他黑客将可能利用漏洞攻击一般iPhone用家，未有更新作业系统的人尤其高危。

　　今次已是曼苏尔第3次成为私人间谍软件的目标。他2011年曾遭德国及英国FinFisher设计的程式攻击;2012年亦遭一间意大利设计的监控软件攻击，盗取其电邮公开。研究人员认为上两次攻击跟阿联酋政府有关。

　　以色列神秘企业 专售软件助政府监控

　　今次事件令以色列一家神秘电脑公司NSO Group成为焦点。令曼苏尔几乎中招的间谍软件，便是出自是NSO之手。NSO 对於向各国政府出售软件直认不讳。今次事件後，该公司发言人达巴什(Zamir Dahbash)说∶"公司只会向合法的政府机构出售产品，而且完全符合法律规定。"惟他没有披露公司客人身分，及出售什麽产品。

　　发言人：完全合法

　　《金融时报》指，NSO 专门向各国政府出售间谍软件，用於监控特定目标，有关软件的售价更可高达100万美元(约780万港元)。NSO於2010年成立，总部设於以色列海尔兹利亚 (Herzliya)，当地是以色列的科技初创企业重镇。NSO 由以色列情报机构"8200情报小组"资助，但由美国投资公司Francisco Partners所拥有，市值估计约10亿美元(约78亿港元)。

　　自称手机"幽灵" 无痕怺收集数据

　　伊朗纳坦兹的核设施系统於2010年受损，就是遭美国及以色列公司共同研发名为Stuxnet的电脑病毒所攻击，而以色列一方正是"8200情报小组"。NSO被称为"网络军火商"，自称能够化身为目标人物电子器材中的"幽灵"，可以无痕怺地收集大量个人数据。

　　私隐关注组织 Privacy International根据消息人士　露资料指，墨西哥及巴拿马政府是NSO的顾客，但相信NSO 还有其他客人，盈利远超估计。

　　监控难阻 智能手机私隐陷危

　　随着智能手机愈见普及，成为黑客攻击或各国政府的监控对象，个人私隐已成公众利益议题，苹果和Google等美国科技巨擘皆屡重申公司对用户私隐的重视。

　　揭密华府监控计划的斯诺登对此颇为悲观，去年接受BBC节目访问直言，智能手机用户在阻止安全部门"全面控制"流动装置上可以做到的"非常少"。

　　斯诺登∶英美想代替你拥有电话

　　今次iPhone险被入侵的曼苏尔，是阿联酋的异见人士。没有英美强大科技实力的阿联酋政府，以重金礼聘技术尖端的以色列科技企业帮忙。但英美政府则可不假外求。斯诺登去年称，英国情报机构GCHQ有力在智能手机用户不知情下入侵，藉以拍照和窃听。他不认为GCHQ或美国国家安全局(NSA)有兴趣大规模监控公民私人通讯，但指两者皆重金投资於入侵智能电话的科技，"他们想代替你拥有你的电话"。

　　民间也有不少黑客入侵智能手机，诺基亚今年3月才发表报告，指网上恶意软件活动中，有6成来自智能手机，数量已超越安装微软视窗的电脑和手提电脑，针对两大操作系统iOS和Android的恶意软件数量有明显增长。

　　面对挑战，苹果总裁库克坚称公司致力保护用户私隐，在近日《华盛顿邮报》长篇专访中强调，私隐权是美国立国以来的公民自由原则一部分，与言论自由和新闻自由等并列，苹果将为客户提供相应保护，"消费者理应期望毋须成为电脑科学博士来保护自己"。